Protéger son NAS

Capt54

Nouveau membre
2 Septembre 2017
24
0
0
Salut,

Comme dis dans ma présentation, j'ai depuis peu un TS-251. Je suis une bille en réseau (je m'y mets doucement avec des tutoriels sur le net) et je voudrais savoir comment protéger mon NAS des "attaques" extérieurs. Je l'utilise essentiellement pour de la sauvegarde de fichiers et notamment mes photos.
J'ai lus et vus dans les options du NAS que l'on pouvait interdire des plages d'adresses IP, ce qui permet par exemples d'interdire toutes les adresses venant de certains pays par exemple ou plus simple peut être de n'autoriser que certaines adresses comme celle de mon PC fixe par exemple. Pour le moment, j'ai accès au NAS depuis mon pc fixe via ma box et aussi depuis un pc portable quand je suis en déplacement, je ne fais pas de partage de fichiers (mais cela pourrais venir). Je pense aussi mettre un jour une caméra.
 
Salut
Tu peux commencer par lire ce sujet https://www.forum-nas.fr/viewtopic.php?f=55&t=3457 , cette page : https://www.cachem.fr/10-conseils-securite-nas/ (pour le https maintenant plus besoin de StartSSL, le nas gère Let's Encrypt gratuit) et rechercher sur le forum, il y en a plusieurs sujets qui en parlent aussi. Si tu as des questions ensuite n'hésites pas.
 
Salut.

Si tu veux limiter la casse :
- On ouvre pas les ports du routeur n'importe comment
- On parametre son parefeu (routeur + nas) - limation pays/IP
- on ne se log jamais avec compte admin. On en cree plusieurs utilisateurs qui peuvent faire ci ou ca.
- on mets de pwd corrects qu'on change de temps à autres. (utilisation de Keypass pour s'en souvenir est pas mal)
- on desactive Upnp de la box
- on ne donne pas son code wifi au pote.
- on mets en place un VPN
- pour la cam : fonction de ton routeur, tu bloques en sortie les infos et tu ne la mettras pas sur le meme LAN que le NAS.
- pour la cam: autre alternative, changer le DNS de la cam pour ne pas qu'il pointe sur le routeur... ;o)
- ...
jdois en oublier !

Attention, ta TV, ton aspirateur, tablettes, pots de fleur, .. peuvent communiquer dehors si on ne bloque pas !
 
Merci pour vos réponses. Il y a du boulot en perspective, je ne comprend pas le dixième de ce que vous m'avez dit ;-)
 
Bon... j'ai déjà suivi le premier tuto fournit par Mikiya. J'ai activer le journal de surveillance des connexions pour voir un peu ce qu'il se passe et j'ai désactivé FTP, SSH et Telnet car je ne m'en sers pas. Je vais continuer à lire les tutos. Merci.
 
Si ton reseau est bien secure, tu pourras laisser le SSH actif. Parfois seule solution pour dépanner. (surtout : n ouvre pas le port 22 sur le routeur).
On peux y aller par etape si tu veux.
 
Merci Esteban

Très instructif
Peut-on bloquer les attaques de certains pays sur le qnap en particulier de la Russie, comme sur le synology ? :-?
 
Pour ce qui est de bloquer les IP par pays, tu peux oublier (juste pour les pays à éviter, il y a 1500 plages d'IP à paramétrer, une par une, à la main).
J'ai fait une demande au Père Noël à ce sujet, mais je ne retiens pas ma respiration en attendant...
C'est pourtant simple à faire sur Apache (et pas mal d'autres outils), ça serait bien pour des produits qui se veulent un tant soit peu grand public.

Le plus simple, si tu as besoin d'un accès extérieur avec le compte admin (si, ça peut arriver) :
- mets-toi un bon mot de passe sur le compte admin
- Active l'authentification à deux étapes sur ce compte-là (et les autres aussi), et installe l'authentificateur sur ton smartphone
- Configure un blocage d'IP automatique dès 5 erreurs de mot de passe en 5 minutes, avec un blocage de 30 minutes, sur tous les protocoles (sauf SAMBA, ça fout la merde si ton mot de passe sur le PC n'est pas le même que sur le NAS).
- Ne laisse passer par ta box que les ports sécurisés (chez moi, le 443 et c'est tout)
- si tu peux, utilise des ports non standards (exemple : 446 au lieu de 443 pour le HTTPS. Il faudra indiquer le port et le protocole explicitement dans ton raccourci pour accéder au NAS. Exemple : https://xxxxxxx.myqnapcloud.com:446/ ). Attention, ça peut poser des problèmes si tu te retrouves derrière un pare-feu qui filtre les ports sortants (mon cas au boulot).
- Dans la configuration d'affichage de la page de login, ne laisse pas affiché le numéro de version de QTS

Si tu as le courage, penche-toi sur les tutos pour mettre en place un VPN pour accéder à ton NAS depuis ton portable (avec la Freebox par exemple, ça a l'air simple, mais je ne l'ai pas encore fait)

Tu peux aussi utiliser certaines des recommandations du Security Counselor, même s'il raconte un peu des conneries (par exemple que tu n'as pas configuré de ban automatique sur des protocoles désactivés!)
 
Merci pour les explications, même si je ne doute pas que le blocage peut-être contourné avec un vpn

L'intégration de cette fonctionnalité comme sur le dsm de synology

est une option intéressante :-?